Végül hosszadalmas és kitartó munkával sikerült minden réteget felfejtve Oroszországot azonosítani a támadás mögött, de a korábban soha nem látott alapossággal álcázott támadás jelzi, hogy az állami hekkerek egyre ügyesebbek a nyomaik elrejtésében, ezért egyre bizonytalanabb a támadók azonosítása – és egyre félelmetesebb belegondolni, hogy mi lesz, ha egyszer az áldozat rossz ország ellen indít válaszcsapást.
2018. február 9-én, a nyitóünnepség alatt hekkertámadás érte a phjongcshangi téli olimpia szervezőbizottságának szervereit. Színtiszta szabotázsakció történt, amelynek a célja nem adatlopás vagy kémkedés, hanem a puszta rombolás, az áldozat megbénítása volt.
Az üzemzavart sikerült időben elhárítani, de nem sok hiányzott ahhoz, hogy egy kibertámadás már a nulladik napján káoszba fullasszon egy világeseményt. Maga a támadás azonban elsősorban nem is emiatt érdekes, hanem azért, mert
SOHA NEM VOLT MÉG PÉLDA OLYAN HEKKERAKCIÓRA, AMELYBEN A TÁMADÓK ILYEN KIFINOMULTAN ÁLCÁZTÁK VOLNA MAGUKAT.
A Wired cikke eddig nem látott alapossággal mutatja be, hogyan igyekeztek megnehezíteni a nyomukba eredő kutatók dolgát a támadás mögött álló hekkerek, és hogyan sikerült mégis azonosítani őket.
A támadás
A phjongcshangi olimpiát a világ legfejlettebb internethálózatával átszőtt Dél-Korea rendezte, az IT-infrastruktúrája több mint 10 ezer számítógépből, 20 ezer mobileszközből, 6300 wifi routerből és két szöuli adatközpont 300 szerveréből állt. Elöljáróban semmi jele nem volt annak, hogy veszélyben lenne az esemény. Egy külsős cég, amelytől további száz szervert béreltek, jelentett ugyan technikai problémákat, de ezek kezelhetőnek tűntek – akkor még nem tudták, hogy ezek a problémák voltak a közelgő krízis első jelei.
Alighogy kezdetét vette a nyitóünnepség, bekövetkezett a legrosszabb, amitől az olimpia IT-biztonsági csapata tarthatott: az egész rendszer megbénításával fenyegető kibertámadást észleltek, és a szöuli adatközpontokban elkezdtek leállni a tartományvezérlő szerverek. Ezek kezelik, hogy ki melyik géphez férhet hozzá egy hálózaton, így gyakorlatilag az egész rendszer gerincét jelentik.
Az első problémák már a nyitóünnepség alatt jelentkeztek: a stadionban lehalt a wifi hálózat; több helyszínen elsötétült a ceremóniát sugárzó több ezer, hálózatra kötött tévé; leálltak az épületbe vezető csipes biztonsági kapuk; az olimpia hivatalos appja, így az eseménnyel kapcsolatos minden információ és a digitális jegykezelés is elérhetetlenné vált. Az olimpia kangnungi technológiai műveleti központjában tudták, hogy ha reggelre nem sikerül helyreállítaniuk a leálló rendszereket, a versenyek kezdetével a teljes IT-infrastruktúra elérhetetlenné válhat, és káoszba fulladhat az egész esemény.
Végül a nyitóünnepség végére, a megbénult szerverek megkerülésével, sikerült ideiglenesen visszaállítaniuk a legalapvetőbb szolgáltatásokat, hogy elkerüljék az azonnali összeomlást. A következő órákban próbálták visszaépíteni a rendszert, de az újra és újra csődöt mondott, ezért radikális lépésre szánták el magukat: a teljes olimpiai IT-infrastruktúrát lekapcsolták a hálózatról – még a hivatalos weboldal is elérhetetlenné vált –, hogy elvágják a támadókat a rendszereiktől, amíg sikerül rájönni, mi okozza a leállásokat és hogyan lehet megszabadulni tőle.
A teljes biztonsági csapat egész éjjel a helyreállításon dolgozott. Hajnalra az AhnLab nevű dél-koreai kiberbiztonsági cég kutatóinak sikerült azonosítani a kártevő kódot és segíteni a hatástalanításában. Minden adminisztrátor jelszavát megváltoztatták, hogy akárhogy is jutottak be a támadók először a hálózatra, ne tudjanak visszatérni. Végül reggelre, közel 12 órával a támadás észlelése után biztonsági másolatokból sikerült helyreállítani a szervereket és újraindítani a szolgáltatásokat. Egy hajszálon múlt, de az első versenyekre minden helyreállt, és onnantól az egész olimpia zavartalanul lezajlott.
Néhány nappal később kiderült, hogy ugyanez a kártevő nemcsak magát az olimpiát támadta meg, hanem az olimpiára bedolgozó Atos nevű francia IT-céget, illetve két phjongcshangi sípályát - utóbbiak közül az egyiknél még az automata kapuk és sífelvonók is leálltak a támadás miatt. (És az olimpia után se szívódott fel teljesen, még hónapokkal később is feltűnt, jelentős változtatásokkal és teljesen más jellegű célpontok ellen.)
Az azonosítás nehézségei
A történtek nyilvánosságra kerülése után azonnal elkezdődtek a találgatások, hogy kik állhattak a támadás mögött. A kibertámadások elkövetőinek, pláne az esetleg mögöttük álló államoknak az azonosítása nagyon nehéz feladat és ingoványos talaj. Nehéz, mert a támadók megtanulták elrejteni a technológiai nyomaikat. És ingoványos, mert még ha sikerül is a nyomukra bukkanni, jól meg kell gondolni, hogy elég nagy magabiztossággal azonosíthatók-e ahhoz, hogy a vád nyilvánosságra hozásával vállalják az elkerülhetetlen diplomáciai feszültséget.
Általában olyan közvetett jelek alapján lehet következtetni az elkövetők kilétére, mint hogy milyen korábbi támadások módszereit, eszközeit, kódjait, infrastruktúráját használták; melyik ország időzónájának munkaóráiban aktívak, milyen nyelvek tűnnek fel a kódban; illetve kinek állna gazdasági-politikai érdekében a támadás, a célpont kiválasztása egybevág-e már ismert mintázatokkal.
Azt persze maguk a támadó csoportok is tudják, hogy a kódok, kártevők, módszerek reciklálása árulkodó lehet, ezért megpróbálhatják tudatosan más csoportok már nyilvánosságra került eszközeit felhasználni egy-egy támadáshoz, hogy rájuk tereljék a gyanút. Ezt hívják false flag, azaz hamis zászló műveletnek. Ez megnehezíti a valódi támadók azonosítását, hacsak valamilyen további, jellemzően hírszerzési információ nem igazolja, hogy valóban a technológiai nyomok alapján azonosított elkövetőkről van szó.
A teljes cikk itt olvasható: Ez volt minden idők legfélrevezetőbb kibertámadása
